Данная статья применима к:
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10
- Astra Linux Special Edition РУСБ.10015-17
- Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
- Astra Linux Special Edition РУСБ.10015-03 (очередное обновление 7.6)
- Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
- Astra Linux Special Edition РУСБ.10015-16 исп. 1
- Astra Linux Special Edition РУСБ.10015-16 исп. 2
- Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
- Astra Linux Common Edition 2.12
HBAC (Host-based access control) — набор правил для настройки доступа пользователей или групп пользователей к определенным хостам с использованием определенных сервисов. Например:
- ограничение доступа по ssh к контроллеру домена определенной локации только для группы администраторов этой локации;
- разрешение использовать только определенную службу для доступа определенным пользователям на определенных хостах.
allow_all
, которое после настройки и проверки своих правил следует отключить.FreeIPA хранит основную группу пользователя в виде числового значения атрибута gidNumber
. В связи с этим, правила HBAC могут ссылаться только на дополнительные группы пользователя, но не на его основную группу.
Службы HBAC
Известные по умолчанию службы и программы, которые могут быть затронуты при создании правил HBAC, перечислены в разделе web-интерфейса FreeIPA Policy — Host-Based Access Control — HBAC Services. Администратор имеет возможность добавить любые необходимые службы. Например, известны службы ftp, sshd, su, login.
Для разрешения входа в графический интерфейс пользователя необходимо создать службы fly-dm и fly-wm
.
Добавление правила
В разделе Policy — Host-Based Access Control — HBAC Rules нажать кнопку Add, откроется окно, в котором необходимо указать имя правила и нажать кнопку Add and Edit. В появившемся окне указать:
- Пользователей и/или группы, на которых будет применяться данное правило.
- Узлы и/или группы узлов, на которые будет применяться данное правило.
- Службы и/или группы служб, использование которых будет регулироваться данным правилом.
Допускается указывать совместно пользователей и группы пользователей, узлы и группы узлов, службы и группы служб. При этом, если в группе находится только один элемент, и эта группа уже добавлена, то добавить этот элемент отдельно невозможно.
Правила можно включать, отключать или удалять.
Проверка правила
Необходимо всегда проверять созданные правила. Для этого предусмотрен специальный инструмент, который расположен в Policy — Host-Based Access Control — HBAC Test:
- Выбрать пользователя из списка всех пользователей домена FreeIPA, на которого будет применяться созданное правило, и нажать кнопку Next.
- Выбрать узел из списка всех узлов в домене FreeIPA, на который будет применяться созданное правило, и нажать кнопку Next.
- Выбрать службу, работа которой подлежит проверке, и нажать кнопку Next.
- Выбрать правило или несколько правил, которые будут применены в ходе проверки, и нажать кнопку Next.
- Просмотреть результаты прошлой проверки (или отсутствие информации о прошлых проверках). Необходимо нажать кнопку Run Test.
- В результате проверки будет указано, соответствуют заданные параметры (пользователь, узел и службы) выбранному правилу или нет. В случае соответствия правило будет применяться.
Отключение и удаление правил
Выбрать из списка правило, которое необходимо отключить или удалить. Для отключения правила нажать кнопку Disable, для удаления — Delete: